一般而言,許多中國國家級駭客發動攻擊,往往與地緣政治及相關事件有關,不過最近有駭客組織突然轉換攻擊目標,引起資安公司的注意。
資安公司Acronis發現後門程式LotusLite的攻擊行動,此惡意程式具備微軟合法簽章,並透過HTTPS與動態DNS對C2進行通訊,其主要功能包括遠端Shell存取、檔案操作,以及連線階段(Session)的內容管理,因此該公司推測,駭客的攻擊目標主要是從事網路間諜活動,與經濟利益無關。關於攻擊者的身分,Acronis研判是中國APT駭客組織Mustang Panda,又稱為Earth Preta、RedDelta、TA416。
這些駭客使用LotusLite已有前例,3月初資安公司Zscaler揭露鎖定中東衝突的攻擊行動,當時Mustang Panda以伊朗衝突為誘餌,試圖散布這支惡意程式。Acronis指出,這次駭客傳遞的方法出現許多轉變,經由CHM檔接觸受害電腦,搭配JavaScript打造的惡意程式載入工具,最終透過DLL側載手法執行惡意軟體。而在攻擊目標的部分,也從以美國政府機關為主,轉向印度金融機構。該公司強調,Mustang Panda過往的攻擊目標多半是政府機關或其他類型的組織,這次不僅罕見針對金融業,就連整體的戰術、技術與流程(TTP)也有所差異。
針對這些駭客發動攻擊的過程,他們疑似透過網路釣魚散布惡意CHM檔啟動攻擊鏈,但也有使用已編譯HTML檔的情況。值得留意的是,Acronis雖然強調駭客主要針對印度金融業而來,但也有韓國外交政策圈組織受害。
